題 如何安全存儲和管理180個密碼?


我有大約180個密碼用於不同的網站和Web服務。它們都存儲在一個受密碼保護的Excel文檔中。隨著列表越來越長,我越來越關注它的安全性。

我是多麼安全,或者我應該說不安全,是一個受密碼保護的Excel文檔?以安全且易於管理的方式存儲這麼多密碼的最佳做法是什麼?

我發現Excel方法很簡單,但我擔心安全方面。


146
2018-06-05 10:47


起源


Cyber​​Ark等商業產品滿足您的需求。 - Ivan Chau


答案:


我最喜歡的密碼存儲工具是 KeePass的

enter image description here

什麼是KeePass?

今天你需要記住許多密碼。您需要一個Windows網絡登錄密碼,您的電子郵件帳戶,您的網站的FTP密碼,在線密碼(如網站會員帳戶)等等。列表是無止境的。此外,您應該為每個帳戶使用不同的密碼。因為如果你在任何地方只使用一個密碼並且有人獲得這個密碼就會出現問題...一個嚴重的問題。小偷可以訪問您的電子郵件帳戶,網站等。難以想像。

KeePass是一個免費的開源密碼管理器,可以幫助您以安全的方式管理密碼。您可以將所有密碼放在一個數據庫中,該數據庫使用一個主密鑰或密鑰文件鎖定。因此,您只需記住一個主密碼或選擇密鑰文件即可解鎖整個數據庫。使用當前已知的最佳和最安全的加密算法(AES和Twofish)對數據庫進行加密。有關更多信息,請參閱 功能頁面


您可以在其中存儲多少密碼?

只是在理論上。您可以根據需要將任意數量的條目放入數據庫,但在某些時候,您的USB密鑰或HDD將已滿。

有沒有辦法自動同步更改的密碼?

不,不像你期望的那樣。
您需要將其作為常規的手動過程。這不能和 不應該 自動化。

我想設置所有密碼條目的到期日期: enter image description here
然後我記得定期更改我的密碼。我用密碼條目存儲網站的URL,所以這是一個快速的過程。

我可以使用此軟件自動登錄Facebook等網站嗎?

不,不是 自動 (至少據我所知)。但這是在哪裡 複寫 發揮作用。例如,對於Facebook,這是我的自動類型設置:

enter image description here

如您所見,我為不同的瀏覽器標題創建了3個配置。這讓我可以簡單地去 facebook.com, 按 按Ctrl+Alt鍵+一個,將自動輸入用戶名和密碼,我將登錄。

如果你有多個用戶名/密碼組合 相同 窗口標題,你會得到一個彈出窗口,詢問你應該使用哪個密碼條目。

手機怎麼樣?

有些應用程序支持移動設備上的KeePass容器格式。但我遠離那些。我只是不喜歡我手機上的KeePass數據庫的想法。

我更喜歡只使用傳輸單個密碼 QR碼生成器 插入。它可以讓你生成一個 二維碼 從密碼,然後您可以使用手機掃描。它有幫助 一個應用程序 可以將掃描的內容複製到剪貼板。

enter image description here


207
2018-06-05 10:51



如果你把它放在Dropbox中,你可以在任何地方打開它(便攜版),甚至在你的手機上。另外,它可以導入Lastpass。選的好 - Ivo Flipse♦
@Oliver這似乎只是我需要的工具。我一定會試一試。到期日期功能很好!而自動型足夠簡單。我了解有些網站可能會要求您通過點擊他們通過電子郵件發送的鏈接來確認密碼更改,因此出於這個原因,我想像的任何自動同步功能將無法同步並自動更新密碼。這是一個加號,這適用於其他操作系統而不僅僅是Windows。 Danke Oli! ;) - Samir
如果您想要在Dropbox中使用增加的安全性,請將密鑰文件與密碼一起使用,並手動將其複製到您想要訪問密碼的任何計算機或設備上(不要將密鑰存儲在Dropbox中)。 AFAIK這適用於Android和root用戶設備,因為你需要訪問文件系統,但沒有密鑰文件,密碼文件幾乎無法破解。 - Chad Levy
請注意,KeePass 2僅適用於Windows(至少,Linux上的免費Mono解釋器運行得非常糟糕)。有一個較舊的KeePass 1克隆,名為KeePassX,我在Mac和Linux上使用它,效果非常好。 - Reid
@Reid:根據我的經驗,KeePass2在Mono上運行良好;它只是醜陋的,這是一個Mono vs .NET的東西。 - grawity


似乎有幾個易於使用的Excel密碼破解程序。

我會使用密碼管理系統 的1Password 要么 LastPass的 適用於多種操作系統,包括手機。

這些插件適用於大多數瀏覽器,可以在Web表單中填寫密碼和其他信息。 1password還可以在瀏覽器中設置一個自動登錄的書籤(應用程序的所有使用都需要先使用主密碼)

1password還可以存儲筆記,帳戶(例如電子郵件,ftp)和模板,以幫助存儲信用卡,銀行帳戶和其他信息。雖然它是商業廣告,但您可以獲得免費演示,允許最多輸入20個項目。

兩者之間的一個區別是1password僅在本地存儲數據(儘管您可以使用dropbox或類似工具同步加密的數據),Lastpass可以(必須有人請更正)將數據存儲在其網站上,允許Web訪問數據,不需要Dropbox等


68
2018-06-05 10:55



Excel密碼很容易破解。谷歌Excel密碼破解者,你會看到很多選擇。 Lastpass的+1。我以前使用Roboform,但更喜歡Lastpass,因為它是跨平台的。我使用他們的密碼生成器來隨機化密碼。 - Kendor
為LastPass +1 - 不幸的是,所有漂亮的格式和圖片的答案都是針對KeePass的,因為LastPass非常優越:它完成了KeePass所做的一切,但也有適用於每個主要瀏覽器,操作系統和移動平台的插件。它還可以在線存儲數據,因此您無需擔心丟失數據 (並在本地緩存它,所以你永遠不必擔心他們的服務器崩潰),但使用TNO加密一切(不信任任何人),所以LastPass永遠不會真正看到你的密碼。我打電話的節目很少 絕對完美,但LastPass就是其中之一。 - BlueRaja - Danny Pflughoeft
LastPass現在也支持通過Android / iPhone進行雙因素身份驗證,這意味著有人首先需要竊取您的手機以啟動您的身份驗證器應用程序(每30秒生成一個隨機代碼)來訪問您的密碼。 - glenneroo
@Sammy:是的, 大多數功能 永遠是免費的。該 只有您需要付費的功能 是移動應用程序和多因素身份驗證,需要“高級帳戶”(12美​​元/年)。作者並沒有試圖通過該計劃致富 - 我不使用高級功能,但仍然支付高級帳戶以表達我的感激之情。我通常只捐贈給開源項目,所以告訴你一些東西:) - BlueRaja - Danny Pflughoeft
LastPass很方便,但主要是閉源並由LogMeIn獲得。 LastPass的服務器已被多次(至少部分)破壞,他們的客戶已允許“當該用戶訪問惡意網站時,從LastPass用戶的保險庫中讀取任意域的明文密碼“目前(2017年3月)”LastPass二進製文件允許惡意網站執行他們選擇的代碼。即使二進製文件不存在......也允許惡意站點從受保護的LastPass保險庫中竊取密碼“看 en.wikipedia.org/wiki/LastPass#Security_issues 供參考 - Xen2050


我用過 LastPass的 現在一段時間,並高度推薦它。它有一些很棒的瀏覽器插件和一系列功能,可以更容易地獲得更安全的密碼。

瀏覽器插件將自動填寫登錄信息(登錄插件時)。它還具有導出功能,因此您可以檢索數據庫並將其導入 KeePass的 例如。它還使用兩步驗證來提高安全性。

桌面客戶端:

desktop client

瀏覽器插件:

browser plugin


49
2018-06-05 14:36



@PITaylor謝謝!我一定會測試LastPass。但是現在我會給KeePass一些時間來評估它。 - Samir
我喜歡LastPass的一個重要原因是因為很容易在多台計算機上輕鬆共享一組密碼,您可以隨時通過Web界面訪問隨機計算機上的通行證。 - PlTaylor
我使用lastpass,但有2個缺點。 1)服務器可能出現故障(技術問題,或公司破產等)2)有些公司不允許,因為您要從公司發送通信信息。 - Keltari
LastPass很方便,但主要是閉源並由LogMeIn獲得。 LastPass的服務器已被多次(至少部分)破壞,他們的客戶已允許“當該用戶訪問惡意網站時,從LastPass用戶的保險庫中讀取任意域的明文密碼“目前(2017年3月)”LastPass二進製文件允許惡意網站執行他們選擇的代碼。即使二進製文件不存在......也允許惡意站點從受保護的LastPass保險庫中竊取密碼“看 en.wikipedia.org/wiki/LastPass#Security_issues 供參考 - Xen2050
我要在這裡留下這個鏈接,因為亨特先生說的比我更好。 troyhunt.com/... - PlTaylor


密碼哈希 插件(適用於Firefox)是我個人使用的。

密碼哈希如何幫助:

  • 自動生成強密碼。
  • 一個主密鑰在許多站點生成不同的密碼。
  • 通過“碰撞”站點標記來快速升級密碼。
  • 升級主密鑰而不一次更新所有站點。
  • 支持不同長度的密碼。
  • 支持特殊要求,如數字和標點符號。
  • 支持限制哈希詞不使用特殊字符。 (新!)
  • 將所有數據保存到瀏覽器的安全密碼數據庫。
  • 使用您的站點標記和選項設置生成可移植的HTML頁面,允許您在任何瀏覽器中生成哈希詞   沒有安裝擴展的任何機器。 (新!)
  • 可以添加標記按鈕以在任何網站上取消屏蔽密碼。 (新!)
  • 使用極其簡單!

enter image description here


10
2018-06-05 12:48



它們必須存放在某個地方,否則就會變成它們 - Mark
還有Chrome端口。 - rishimaharaj
通過@kutschkem:不,密碼不需要存儲在某個地方。插件可能做的事情(至少這是我將如何做),是散列網站標記和主密碼的串聯,這將導致每個網站的密碼不同(並且應該是強大的)(不存儲任何內容) ,看?)。當然,您的主密碼仍然需要很強。優點是不僅每個密碼都不同,它們將是非常不同的(至少如果散列函數是好的)。 - Der Hochstapler
還有 IE的端口,由一個非常英俊的人寫的 - BlueRaja - Danny Pflughoeft
@Matthew:的確如此 一切 密碼存儲解決方案 - BlueRaja - Danny Pflughoeft


我個人用 PasswordMaker從主密碼和網站的URL生成密碼。該項目相當成熟,開源且穩定。它適用於Firefox(作為擴展),Linux CLI,Android等。

這個怎麼運作:

警告 - 本節中的技術術語!你提供   PasswordMaker有兩條信息:一個“主密碼” - 即   一個,你喜歡的單個密碼 - 以及需要的網站的URL   密碼通過單向哈希算法的魔力,   PasswordMaker計算消息摘要,也稱為數字消息摘要   指紋,可用作網站的密碼。   雖然單向散列算法有一些有趣的   特徵,由PasswordMaker資本化的那個是   結果指紋(密碼)確實“沒有透露任何關於   用於生成它的輸入。“。換句話說,如果有人有   一個或多個生成的密碼,它是計算上的   他無法獲得您的主密碼或計算您的密碼   其他密碼。計算上不可行也意味著計算機就像   這無濟於事!


9
2018-06-05 13:59





它是 冒著信任的風險 一個 第三方應用程序 存儲您的重要密碼,尤其是那些潛在的應用程序 能夠在線連接 或者你授權他們的人 訪問進程 其他計劃;更重要的是信任 非開源 那些。

在我看來,更安全的方法是將重要密碼存儲在 文本文件 (.TXT)然後使用加密文件 AES算法 通過 dsCrypt.exe。您需要在dsCrypt中輸入主密碼 只有一次 你將能夠 加密/解密 只要dsCrypt正在運行,您就可以多次使用密碼文本文件而不會要求您重新輸入主密碼。您可以使用Windows啟動自動運行dsCrypt並輸入一次主密碼;而你需要的只是 拖放 您的密碼文件(.txt)到dsCrypt上以對其進行解密/加密 什麼時候需要 你的密碼。


4
2018-03-27 22:26



用PGP / GPG替換dsCrypt,TrueCrypt衍生產品,LUKS等也一樣好,仍然+1 - Xen2050
但你的答案有一個缺陷:dsCrypt.exe是第三方軟件:-)!我更喜歡信任一個開源程序,我可以通過exe來重新編譯 - spiritoo


我建議 KeePassXC 這是一個社區分支 KeePassX,一個原生的跨平台端口 KeePass密碼安全,目標是通過新功能和錯誤修正來擴展和改進它,以提供功能豐富,完全跨平台和現代的開源密碼管理器。

此客戶端也被推薦 監視自衛

主要特點 KeePassXC

  • 使用AES,Twofish或ChaCha20加密安全存儲密碼和其他私人數據
  • 跨平台,無需修改即可在Linux,Windows和macOS上運行
  • 文件格式與KeePass2,KeePassX,MacPass,KeeWeb和其他許多軟件(KDBX 3.1和4.0)的兼容性
  • SSH代理集成
  • 在所有支持的平台上自動鍵入以自動填寫登錄表單
  • 密鑰文件和YubiKey質詢 - 響應支持以增強安全性
  • TOTP生成(包括Steam Guard)
  • 從其他密碼管理器導入CSV(例如,LastPass)
  • 命令行界面
  • 獨立密碼和密碼短語生成器
  • 密碼強度計
  • 數據庫條目的自定義圖標和網站favicons的下載
  • 數據庫合併功能
  • 在外部更改數據庫時自動重新加載
  • 瀏覽器與KeePassXC-Browser集成,適用於谷歌Chrome,Chromium,Vivaldi和Mozilla Firefox。
  • (Legacy)KeePassHTTP支持與Moeilla Firefox和Google Chrome的KeePassHTTP-Connector以及Safari的passafari一起使用。

0
2018-04-26 16:46





我使用記事本和.txt文件。如果您需要我的建議,我建議您不要使用第三方軟件。你從哪裡知道他們沒有竊取你的密碼?
所以使用文本文件是最好的。
另外,如果您是程序員,我建議您為自己構建一個使用編碼來保護數據的簡單程序。這是最好的解決方案。


-4
2017-09-26 16:46



我將利用我的機會,加密密碼管理器的數據庫比純文本文件更容易受到攻擊,因為後者將被下一個惡意軟件收穫,該惡意軟件可以快速搜索我的計算機 密碼。 - Twisty Impersonator
至少使用gpg / pgp或其他東西加密你的純文本文件, 什麼,然後記住一個密碼 - Xen2050